我的问题与堆栈分配、填充和对齐有关。考虑以下函数:
void func(int a,int b)
{
char buffer[5];
}
在汇编级别,函数如下所示:
pushl %ebp
movl %esp, %ebp
subl $24, %esp
我想知道堆栈上的 24 个字节是如何分配的。我知道为 char 缓冲区 [5] 分配了 16 个字节。我不明白为什么额外的 8 个字节用于以及它们是如何分配的。上面链接中的最佳答案说它是用于 ret 和 leave。有人可以扩展吗?
我认为堆栈结构如下所示:
[bottom] b , a , return address , frame pointer , buffer1 [top]
但这可能是错误的,因为我正在编写一个简单的缓冲区溢出并尝试更改返回地址。但是由于某种原因,返回地址没有改变。堆栈上还有其他东西吗?
额外空间有几个原因。一种是用于变量的对齐。第二个是引入填充以检查堆栈(通常是调试构建而不是发布构建使用空间)。第三是有额外的空间来临时存储寄存器或编译器生成的临时变量。
在 C 调用序列中,通常完成的方式是会有一系列 push 指令将参数压入堆栈,然后使用 call 指令调用函数。call 指令将返回地址压入堆栈。
当函数返回时,调用函数将删除推送的参数。例如,对函数的调用(这是带有 C++ 程序的 Visual Studio 2005)将如下所示:
push OFFSET ?pHead@@3VPerson@@A ; pHead
call ?exterminateStartingFrom@@YAXPAVPerson@@@Z ; exterminateStartingFrom
add esp, 4
这是将变量的地址压入堆栈,调用函数(函数名在 C++ 中被修改),然后在被调用函数返回后,它通过将用于堆栈指针的字节数添加到堆栈指针来重新调整堆栈。地址。
以下是被调用函数的入口部分。这样做是在堆栈上为局部变量分配空间。请注意,在设置入口环境后,它会从堆栈中获取函数参数。
push ebp
mov ebp, esp
sub esp, 232 ; 000000e8H
push ebx
push esi
push edi
lea edi, DWORD PTR [ebp-232]
当函数返回时,它基本上将堆栈调整回调用函数时的位置。每个函数负责在返回之前清理它对堆栈所做的任何更改。
pop edi
pop esi
pop ebx
add esp, 232 ; 000000e8H
pop ebp
ret 0
您提到您正在尝试更改退货地址。从这些示例中,您可以看到返回地址位于最后一个压入堆栈的参数之后。
这是关于函数调用约定的简要说明。另请查看有关 Intel 汇编器指令的文档。
使用 Visual Studio 2005 做一些示例工作,我看到的是,如果我执行以下代码,我可以访问此示例函数的返回。
void MyFunct (unsigned short arg) {
unsigned char *retAddress = (unsigned char *)&arg;
retAddress -=4;
printf ("Return address is 0x%2.2x%2.2x%2.2x%2.2x\n", retAddress[3], retAddress[2], retAddress[1], retAddress[0]);
}
请注意,此 Windows 32 位寻址的调用汇编程序指令似乎将返回地址按字节顺序排列,其中返回地址从低字节到高字节存储。
额外的空间用于堆栈对齐,这通常是为了获得更好的性能。